安全等级保护

安全等级保护（精选12篇）

安全等级保护 篇1

一信息网络和重要信息系统存在的主要问题

第一, 利用基础信息网络和重要信息系统的违法犯罪活动迅速上升。

不法分子利用一些安全漏洞, 使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪, 对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。

第二, 基础信息网络和重要信息系统存在安全隐患。

由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口, 在操作系统、专用芯片和大型应用软件等方面不能自主可控, 给我国的信息安全带来了深层的技术隐患。

第三, 我国的信息安全保障工作基础薄弱。

信息安全意识和安全防范能力差, 信息系统安全建设、监管缺乏依据和标准, 安全保护措施和安全制度不完善, 监管措施不到位。1994年《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令) 规定, “计算机信息系统实行安全等级保护, 安全等级的划分标准和安全等级保护的具体办法, 由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 明确指出“实行信息安全等级保护”, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度, 制定信息安全等级保护的管理办法和技术指南”。实行信息安全等级保护是国际上通行的做法开展信息安全等级保护工作应建立安全保护机制, 安全保护机制包括:信息安全效能评估、信息安全保障工作评价机制、印记响应机制、安全响应技术体系、安全监测预警机制等。

二建立信息网络和重要信息系统安全保护机制

本人就从事信息安全等级保护工作以来, 浅谈信息系统在开展等级保护工作建立安全保护机制应从以下几个方面开展。

(一) 积极组织部署等级保护工作

1.专门成立等级保护协调领导机构成立由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组, 确保系统高效运行、理顺信息安全管理、规范信息化安全等级建设。

2.明确等级保护责任部门和工作岗位开会、下文明确等级保护责任部门, 做到分工明确, 责任具体到人。

3.贯彻落实等级保护各项工作文件或方案等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案, 制定出《网络与信息安全事件应急预案》、《机房管理制度》等一系列规章制度, 落实等级保护工作。

4.召开工作动员会议, 组织人员培训, 专门部署等级保护工作每季度召开一次工作动员会议, 定期、不定期对技术人员进行培训, 并开展考核。技术人员认真学习贯彻有关文件精神, 把信息安全等级保护工作提升到重要位置, 常抓不懈。

5.要求主要领导认真听取等级保护工作汇报并做出重要指示主要领导对等级保护工作给与批示, 要求认真做好有关工作。指示责任部门做好自检、自查, 精心准备, 迎接公安机关专项检查。

(二) 认真落实信息安全责任制

1.成立信息安全职能部门单位需成立信息系统安全职能部门, 负责信息系统络建设, 信息安全, 日常运行管理。

2.制定信息安全责任追究制度制定相应信息安全责任追究制度, 定岗到人, 明确责任分工, 把信息安全责任事故降低到最低。

(三) 积极推进信息安全制度建设

1.加强人员安全管理制度建设各单位需建立人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度, 对新进人员进行培训, 加强人员安全管理, 不定期开展考核。

2.严格执行机房安全管理制度各单位需制定出《机房管理制度》, 加强机房进出人员管理和日常监控制度, 严格实施机房安全管理条例, 做好防火防盗, 保证机房安全。

3.建立系统建设管理制度各单位需制订产品采购、工程实施、验收交付、服务外包等系统建设管理制度, 通过公开招标, 择优选用, 提高系统建设的质量。

(四) 大力加强信息系统运维

1.开展日常信息安全监测和预警各单位需建立日常信息安全监测和预警机制, 提高处置网络与信息安全突发公共能力事件, 加强网络信息安全保障工作, 形成科学、有效、反应迅速的应急工作机制, 确保重要计算机信息系统的实体安全、运行安全和数据安全, 最大限度地减轻网站网络与信息安全突发公共事件的危害。

2.建立安全事件报告和响应处理程序各单位需建立健全分级负责的应急管理体制, 完善日常安全管理责任制。相关部门各司其职, 做好日常管理和应急处置工作。设立安全事件报告和相应处理程序, 根据安全事件分类和分级, 进行不同的上报程序, 开展不同的响应处理。

3.制定应急处置预案, 定期演练并不断完善制定安全应急预案, 根据预警信息, 启动相应应急程序, 加强值班值守工作, 做好应急处理各项准备工作。定期演练预警方案, 不断完善预警方案可行性、可操作性。

(五) 有效推进信息系统等级测评和安全建设整改工作

1.制定等级测评工作计划认真制定等级测评工作计划表, 按照工作计划表, 有条不紊的开展等级测评。

2.制定安全建设整改工作计划制定安全建设整改工作计划, 根据自查结果, 对发现问题进行安全建设整改。编制整改方案, 限期完成整改计划。

3.保证等级测评工作经费优先保证等级测评工作经费的划拨、使用。

4.落实安全建设整改工作经费保障积极落实安全建设整改工作经费, 协调财政部门保障整改经费保障。

三不断完善等级保护自查和整改

1.组织部署等级保护自查工作领导协调小组开专题会议, 部署等级保护自查工作。按照信息安全等级保护工作检查表的要求, 细化各项检查指标, 落实各项指标。

2.等级保护体系建立后, 还需要一个有效的、持续性的验证方法确保信息系统在不断发展的同时保证符合安全等级要求, 并且由管理部门确认信息系统能够投入运行, 这就是信息系统的认证和认可 (C&A) 。这个阶段一般由国家专门的测评认证和认可部门进行。信息安全立法、评测认证体系对等级保护起着至关重要的作用。由于业务的发展和信息技术的更新, 信息系统始终处在变更过程中;由于新的安全漏洞和威胁的不断出现, 信息资产也会出现新的安全脆弱点, 这可能会影响到整个信息系统的安全风险状态和安全等级。所以, 用户需要建立一套动态的安全状况跟踪和监控机制。

四总结

等级保护是信息安全保障基础性工作的核心, 是涉及范围广泛的系统工程, 需要大量的理论研究工作, 尤其需要在实践工作中获得经验教训, 树立最佳实践, 并且逐步进行体系的发展和完善。我们需要在开放、合作的前提下, 发动全社会的力量投入到等级保护建设中去, 才能如期有效地实现信息安全保障的目标。

安全等级保护 篇2

第2期

如何理解信息安全等级保护

与分级保护

徐 苏

（电信科学技术第十研究所

陕西

西安

710061）

摘 要：信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。国家安全信息等级保护，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统；涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

关键字：国家信息安全 公众信息 国家秘密信息 等级保护 分级保护 在日常工作中和为用户提供服务的过程中，什么是信息系统等级保护？什么是涉密信息系统分级保护？这两者之间有什么关系？那些系统需要进行等级保护？涉密信息系统如何分级？这是时常困扰我们的问题。

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、徐苏：如何理解信息安全等级保护与分级保护

用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。

信息系统安全等级保护将安全保护的监管级别划分为五个级别：

第一级：用户自主保护级

完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级

本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，使所有的用户对自己行为的合法性负责。

第三级：安全标记保护级

除具有第二级系统审计保护级的所有功能外，还它要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，实现对访问对象的强制访问控制。

第四级：结构化保护级

将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，将安全保护机制划分为关键部分和非关键部分，对关键部分强制性地直接控制访问者对访问对象的存取，使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级：访问验证保护级

这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动，仲裁访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。因此，本级的安全保护机制不易被攻击、被篡改，具有极强的抗渗透的保护能力。

在等级保护的实际操作中，强调从五个部分进行保护，即：

物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等；

支撑系统：包括计算机系统、操作系统、数据库系统和通信系统；

网络部分：包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理；

应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控

徐苏：如何理解信息安全等级保护与分级保护

制，密码保护机制和信息存储管理；

管理制度：包括管理的组织机构和各级的职责、权限划分和责任追究制度，人员的管理和培训、教育制度，设备的管理和引进、退出制度，环境管理和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更改和废止的控制程序。

由这五部分的安全控制机制构成系统整体安全控制机制。

二、涉密信息系统分级保护

1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务，提出要建立与《保密法》相配套的保密法规体系和执法体系，建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日，国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》，同时，《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施，国家已经基本形成了完善的保密法规体系。

涉密信息系统实行分级保护，先要根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级；涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面，对不同级别的涉密信息系统有明确的分级保护措施，从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级：

秘密级：信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

机密级：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：

徐苏：如何理解信息安全等级保护与分级保护

（1）信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；

（2）信息系统中的机密级信息含量较高或数量较多；（3）信息系统使用单位对信息系统的依赖程度较高。

绝密级：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

涉密信息系统分级保护的管理过程分为八个阶段，即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中，涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段，尤其要引起重视。

系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节，因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级"的原则，可以根据信息密级、系统重要性和安全策略划分为不同的安全域，针对不同的安全域确定不同的等级，并进行相应的保护。在涉密信息系统定级时，可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响，以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时，在同一个系统里，还允许划分不同的安全域，在每个安全域可以分别定级，不同的级别采取不同的安全措施，更加科学地实施分级保护，在一定程度上可以解决保重点，保核心的问题，也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题。涉密信息系统建设单位在定级的同时，必须报主管部门审批。

涉密信息系统要按照分级保护的标准，结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析，并根据安全风险分析的结果，对部分保护要求进行适当的调整和改造，调整应以不降低涉密信息系统整体安全保护强度，确保国家秘密安全为原则。当保护要求不能满足实际安全需求时，应适当选择采用部分较高的保护要求，当保护要求明显高于实际安全需求时，可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进行论证，综合考虑修改项和其他保护要求之间的相关性，综合分析，改造方案的实施以及后续测评要按照国家的标准执行，并且要求文档化。在设计完成之后要进行方案论证，由建设使用单位组织有关的专家和部门进行方案设计论证，确定总体方案达到分级保护技术的要求后再开始实施；在工程建设实施过程中注意工程监理的要求；建设完成之后应

徐苏：如何理解信息安全等级保护与分级保护

该进行审批；审批前由国家保密局授权的涉密信息系统测评机构进行系统测评，确定在技术层面是否达到了涉密信息系统分级保护的要求。

运行及维护过程的不可控性以及随意性，往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制，对安全状态进行监控，对发生的安全事件及时响应，在流程上对系统的运行维护进行规范，从而确保涉密信息系统正常运行。通过安全检查和持续改进，不断跟踪涉密信息系统的变化，并依据变化进行调整，确保涉密信息系统满足相应分级的安全要求，并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别，所以在运行维护中应尽可能地实现流程固化，操作自动化，减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性，使安全策略作为安全运行的驱动力以及重要的制约规则，从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段，当局部调整等原因导致安全措施变化时，如果不影响系统的安全分级，应从安全运行及维护阶段进入安全工程实施阶段，重新调整和实施安全措施，确保满足分级保护的要求；当系统发生重大变更影响系统的安全分级时，应从安全运行及维护阶段进入系统定级阶段，重新开始一次分级保护实施过程。

随着我们国家民主与法制建设进程的不断推进，保密的范围和事项正在逐步减少，致使一些涉密人员保密意识和敌情观念淡化，对保密工作的必要性和重要性认识不足。虽然长期处于和平时期，但并不意味着无密可保。事实上，政府部门掌握着大量重要甚至核心的机密，已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域，一直是窃密与反窃密，渗透与反渗透的主战场。据国家有关部门统计，在全国泄密事件中，军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出，渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力，导致涉密信息系统泄密案件的比例逐年上升，安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求，加强涉密信息系统建设意义重大。

三、等级保护和分级保护之间的关系

国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信 5

徐苏：如何理解信息安全等级保护与分级保护

息系统，而不论它是否涉密。如：

(1)国家事务处理信息系统（党政机关办公系统）；

(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；

(3)国防工业企业、科研等单位的信息系统；

(4)公用通信、广播电视传输等基础信息网络中的计算机信息系统；(5)互联网网络管理中心、关键节点、重要网站以及重要应用系统；(6)其他领域的重要信息系统。

国家实行信息安全等级保护制度，有利于建立长效机制，保证安全保护工作稳固、持久地进行下去；有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于突出重点，加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督；有利于明确国家、企业、个人的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、针对性，推动网络安全服务机制的建立和完善；有利于采取系统、规范、经济有效、科学的管理和技术保障措施，提高整体安全保护水平，保障信息系统安全正常运行，保障信息安全，进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转；有利于根据所保护的信息的重要程度，决定保护等级，防止“过保护”和“欠保护”的情况发生；有利于信息安全保护科学技术和产业化发展。

涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位，由各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全，确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容，关系到国家的安全和利益，一旦泄露，必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全，国家就会丧失信息主权和信息控制权，所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。

因为不同类别、不同层次的国家秘密信息，对于维护国家安全和利益具有不同的价值，所以需要不同的保护强度种措施。对不同密级的信息，应当合理平衡安全风险与成本，采取不同强度的保护措施，这就是分级保护的核心思想。对涉密信息系统的保护，既要反对只重应用不讲安全，防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象；同时也要反对不从实际出发，防护措施“一刀切”，造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护，就是要使保护重点更加突出，保护方法更加科学，保护的投入产出比更加合理，徐苏：如何理解信息安全等级保护与分级保护

从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。

安全等级保护 篇3

1994年，国务院颁布的《信息安全保护条例》首次提出对计算机信息系统实行等级保护，并授权公安部会同有关部门制定等级划分标准和管理办法。2003年，中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》，再次强调对信息安全进行等级保护。 2004年公安部联合国家保密局、密码局、保密委员会和国务院信息化领导办公室发布《关于信息安全等级保护工作的實施意见》，对信息安全等级保护的基本制度框架进行了规划。2006年上述四部门发布《信息安全等级保护管理办法（试行）》，开始具体构建信息安全等级保护制度，该办法在试行一年后于2007年6月正式发布实施。以上法律文件从信息安全等级保护的提出到其具体制度的制定，构筑了我国信息安全等级保护的基本法律框架。

(一)等级的划分

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度；信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统运营、使用单位根据等级划分，按照相关技术标准对信息系统进行保护，国家有关信息安全监管部门对三级以上信息系统的等级保护工作进行监督管理。

(二) 等级保护工作的职责分工

在开展等级保护工作中，涉及到的部门分工各不相同：

公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。而信息系统主管部门应当组织并实施所管辖的信息系统的信息安全等级保护工作，督促、检查、指导其主管的信息系统运营使用单位依照国家信息安全等级保护管理规范和技术标准，落实安全责任。

(三)等级保护的实施

等级保护的实施流程包括六项内容：

一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》，确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。

二是评审。在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询评审。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。

三是系统建设。信息系统的安全保护等级确定后，运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符合本系统安全保护等级要求的安全管理制度。

四是等级测评。信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依据《信息系统安全等级保护测评要求》等技术标准对信息系统安全等级状况开展技术测评。第三级以上信息系统运营使用单位应当按照等级保护管理办法要求选择测评机构开展等级测评。

五是备案。第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

六是监督检查。公安机关依据信息安全等级保护管理规范，定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关信息安全保护的情况资料。

(四)法律责任

第三级以上信息系统运营、使用单位违反《信息安全等级保护管理办法》，有未按规定备案、审批，未按规定落实安全管理制度、措施，或者未按规定开展系统安全状况检查、系统安全技术测评，以及接到整改通知后拒不整改等行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果。

信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。

我国信息安全等级保护立法存在的问题

尽管我国出台了一系列信息安全等级保护的相关政策和法规，构筑了我国信息安全等级保护的基本法律框架，但是，我国的信息安全等级保护立法总体来说还处于起步阶段，存在着很多问题:

(一)立法层次偏低

实际上，我国整个信息安全立法的层级都偏低，信息安全立法主要以行政法规形式存在，而具体到等级保护方面的立法更是主要以部门规章的形式存在,还没有一部高位阶、统领性的信息安全基本法律，因而难以形成科学、合理、专业、有序的法律体系。这与信息安全在国家安全中的战略地位，与等级保护在信息安全中的基本地位是不相符合的。由于信息安全等级保护制度立法层次低，主要以部门规章出现，囿于部门职权和利益，其制度设计往往存在天然的局限性，缺乏全局的统筹和制度设计。

而且，我国在信息安全等级保护立法乃至整个信息安全立法中都存在重政策轻法律的问题，习惯于采用规范性文件或者领导批示的方式，布置任务或者贯彻落实文件精神，忽视了法律在预防和处理信息安全问题上应当发挥的作用和效能。由于规范性文件、政策性文件因缺乏支配性、强制执行力，往往不能得到有效执行，因而不能转化为现实的有力地调整和指引工具。

(二)未能融入风险管理的理念

进入网络时代以后，安全威胁不断增加，所需的安全成本和资源也成倍增长,在当今复杂的、分布的、异构的信息系统环境下，无论采取多么完善的信息安全手段都难以达到绝对的安全，风险总会存在，因而很难采取风险消除的方法实现安全性，适宜的方法是将基于风险的安全理念引入到保障信息系统信息安全的过程中，对整个信息系统进行风险管理。在信息安全等级保护中乃至整个信息安全保障工作中融入风险管理的理念已经是信息安全保障工作的主流范式。如美国标准与技术研究院在《联邦信息安全管理法》的要求下制定的美国信息安全认证认可的标准框架即充分体现了风险管理的理念，这个框架贯彻了《联邦信息安全管理法》的要求，明确提出落实认证认可工作，要以风险管理的思想贯彻于其信息系统的生存周期。

但是令人遗憾的是，我国现行的信息安全等级保护法律框架并没有将风险管理的理念融入其中,而是将信息安全等级保护与作为风险管理代表的信息安全风险评估制度并行分别试点推进。目前，信息安全风险评估还只停留在政策推行阶段。这就造成了等级保护与风险管理或者更具体一点与风险评估的割裂,一方面使信息安全保障工作重复建设,更重要的另一方面是这种割裂导致了信息安全保障工作的不科学,致信息安全于危险的境地。

(三)立法內容不全面

虽然现行的行政法规和部门规章已经为信息安全等级保护构筑了一个基本的法律框架，但是，其立法内容还是很不全面的，还有许多重要的内容有待进一步立法明确，比如信息安全等级测评制度。

信息安全等级测评在整个信息安全等级保护中占有重要地位，它不仅是确定系统是否符合预定安全要求的重要依据，还是发现并弥补信息安全漏洞的过程。那么等级测评机构如何组成？如何管理？测评结果的效力如何？测评机构应当承当什么责任？现行法律框架没有给出明确的规定。

(四)法律责任体系不完善

现行法律框架并没有为推进信息安全等级保护提供强有力的法律责任保障，对于违法行为除了警告或者建议其主管上级处理外别无他法，这样的法律责任体系显然很不完善。第一，从法律责任性质上来讲，缺乏民事责任的规定。信息系统运营、使用人不履行等级保护之法定义务，会将信息系统置于危险状态，信息系统一旦受到破坏，会损害与之相关的他人权益。因此，信息系统运营、使用人承担着对该系统相关人的安全保障义务，其不履行或者不完全履行等级保护义务给他人造成损害的，应当承担民事赔偿责任。第二，行政责任单一、软弱，不能起到对于违法行为的惩治和对可能违法的震慑，不能起到预防违法的作用。根据《信息安全等级保护管理办法》，对于违法行为只能责令其限期改正，逾期不改正的，给予警告，并其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果。可以说，几乎没有什么强制性的处罚措施，在实际执行中显然要大打折扣。

我国信息安全等级保护制度的完善

完善我国的信息安全等级保护制度，既要立足于信息安全保障的基本规律，充分考虑我国信息网络发展的特殊性，又要吸收和借鉴各国的立法经验，笔者认为，我国的信息安全等级保护制度可以从以下几个方面进行完善：

(一)加强以等级保护为主要内容之一的信息安全基本法立法工作

制定一部高效力层次的信息安全基本法，有助于科学、合理、专业、有序的信息安全法体系的构建，也有助于推动信息化战略的实施。在信息安全基本法之下，可以克服现行等级保护以部门规章为主体的局限性，可以在更广范围内更科学地分配各部门职责，比如国家标准部门对于信息安全等级保护标准的制定和发展等。制定等级保护制度的完善。同时，高位阶的信息安全基本法可以创设更多法律责任制度，更有利于形成完善的法律责任体系，确保信息安全等级保护制度的强制力和执行力。

(二)引入风险评估机制

信息安全等级保护必须树立风险管理的思想，而风险评估是风险管理的基础，因此，笔者认为，三级以上信息系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段：

1.系统定级。由于信息系统具有自身的行业和业务特点，且所受到的安全威胁均有所不同，因此，可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析，判断信息系统应采取什么强度的安全措施，然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。

2.安全实施。安全实施是根据信息安全等级保护国家标准的要求，从管理与技术两个方面选择不同强度的安全措施，来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用，那就是对现有系统进行评估和加固，然后再进行安全设备部署等。在安全实施过程中也会发生事件并可能带来长期的安全隐患，如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题，风险评估能够及早发现并解决这些问题。

3.安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面：一是维护现有安全措施等级的有效性。可依据国家有关等级划分准则对信息系统所采取的安全措施是否满足要求进行检验，以保证所采取的安全措施的强度持续有效；二是根据客观情况的变化以及系统内部建设的实际需要，等级要进行定期调整，以防止过度保护或保护不足。再定级的过程可参见系统定级部分的内容。

(三)建立健全等级测评法律机制

可以考虑从以下几个方面对信息安全等级测评机制进行完善:

1.等级测评的启动机制。等级测评可由信息系统运营、使用、主管和监督单位启动。

2.等级测评机构和测评人准入制度。等级测评是一项专业性和专职性很轻的工作，并且需要测评机构和测评人具有很高的职业操守，因此，必须设定一定的门槛，实行准入制度。测评人应当进行专业资格考试和考核，以确定其具备相应的专业素质和职业操守，有故意泄露工作秘密或者有犯罪记录的人员不能取得测评人资格。测评机构必须拥有专业化的测评团队、良好的测评手段，具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度，具有一定规模才能取得主体资格。

3.等级测评机构和测评人法律责任制度。被测评单位应该和测评机构就测评工作签订测评合同,测评机构应当对自身的测评行为负责，对违反法律规定的行为不仅要对被测评单位承担合同责任，而且要承担行政责任，接受行政管理机关对于其违法行为的处罚。对测评人的法律责任主要是行政责任和刑事责任。行政责任是指测评人违反法律法规，发生舞弊或过失行为并给有关方面造成经济等损失后，由政府部门或自律性组织对其追究的具有行政性质的责任，比如剥夺测评人资格等。一般来说，由于测评人在等级测评中是履行职务的行为，所以即使测评人由于过失或欺诈行为而使被测评单位受损，也应当由测评机构对外承担民事责任。

(四)完善等级保护法律责任体系

笔者认为，可以为信息系统的使用、运营单位创设一定的民事责任从而迫使其积极履行信息安全等级保护义务。可以规定，若信息系统的使用、运营单位对信息系统相关人依约或者依法承担有安全保障义务，则使用、运营单位不履行等级保护义务即为其未履行对相关人安全保障义务的明证，应当为相关人因此的损失承担民事责任。

另外，在行政责任方面，可以对违反信息安全等级保护相关法律规定的信息系统运营、使用单位给予罚款等行政处罚，促使其履行义务。

信息安全等级保护现状浅析 篇4

目前对信息及信息系统实行分等级保护是各国保护关键基础设施的通行做法。在我国信息安全等级保护是保障国家信息安全的一项基本制度。通过信息安全等级保护工作, 实现信息安全资源的优化配置, 重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全, 有效提高我国信息和信息系统安全建设的整体水平。

1.1 信息安全等级保护的概念及等级划分

信息系统安全等级保护是指对信息以及信息系统分等级进行安全保护和监管;对信息安全产品的使用进行分等级管理;对信息系统中发生的信息安全事件分等级响应、处置的综合性工作制度。

根据信息系统在国家安全、经济建设、社会生活中的重要程度, 以及信息系统遭到破坏后对国家安全、社会秩序、公共利益, 以及公民、法人和其他组织的合法权益的危害程度等因素, 将信息系统安全等级由低到高分为五个等级:第一级, 自主保护级;第二级, 指导保护级;第三级, 监督保护级;第四级, 强制保护级;第五级, 专控保护级。依据安全保护能力也划分为五个等级:第一级, 用户自主保护级;第二级, 系统审计保护级;第三级, 安全标记保护级;第四级结构化保护级;第五级访问验证保护级。

1.2 国外信息安全等级保护的发展历程

等级保护思想最早源于20世纪60年代的美军文件保密制度, 其中第一个比较成熟并且具有重大影响的是1985年发布的 《可信计 算机系统 评估准则 》 (TCSEC) , 该准则是当时美国国防部为适应军事计算机的保密需要提出的, 主要是针对没有外部连接的多用户系统提出。

受美国等级保护思想的影响, 欧盟和加拿大也分别制定自己的等级保护评估准则。英、法、德、荷等四国于1991年提出了包含保密性、完整性、可用性等概念的欧共体的《信息技术安全评估准则》 (ITSEC) 。ITSEC作为多国安全评估标准的综合产物, 适用于军队、政府和商业部门。1993年加拿大公布《可信计算机产品评估准则》 (CTCPEC) 3.0版本。CTCPEC作为TCSEC和ITSEC的结合, 将安全分为功能性要求和保证性要求两部分。功能性要求分为机密性、完整性、可用性、可控性等四个大类。

为解决原各自标准中出现的概念和技术上的差异, 1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体, 形成通用评估准则 (Common Criteria) 。1999年出台的CC2.1版本被ISO采纳, 作为ISO15408发布。在CC中定义了评估信息技术产品和系统安全性所需要的基础准则, 是度量信息技术安全性的基准。

1.3 我国信息安全等级保护的发展历程

在国际信息安全等级保护发展的同时, 随着信息化建设的发展, 我国的等级保护工作也被提上日程。其发展主要经历了四个阶段。

1994-2003年是政策环境营造阶段。国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》, 规定计算机信息系统实行安全等级保护。2003年, 中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 明确指出“实行信息安全等级保护”。此文件的出台标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。

2004-2006年是等保工作开展准备阶段。2004年至2006年期间, 公安部联合四部委开展了涉及65117家单位, 共115319个信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点, 探索了开展等级保护工作领导、组织、协调的模式和办法, 为全面开展等级保护工作奠定了坚实的基础。

2007-2010年是等保工作正式启动阶段。2007年6月, 四部门联合出台了《信息安全等级保护管理办法》。7月四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》, 并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议, 标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。

2010年至今是等保工作规模推进阶段。2010年4月, 公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》, 提出等级保护工作的阶段性目标。2010年12月, 公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》, 要求中央企业贯彻执行等级保护工作。至此我国信息安全等级保护工作全面展开, 等保工作进入规模化推进阶段。

2 我国信息安全等级保护的现状

2.1 等级保护的组织架构初步形成

截止目前, 除了国家信息安全等级保护协调小组办公室外, 在大陆31个省、自治区、直辖市当中除天津、黑龙江、河南、重庆、陕西外, 有26个行政区成立了省级的信息安全等级保护协调小组办公室。22个省、自治区、直辖市建立了信息安全等级保护联络员制度, 共确定1598名联络员。获得信息安全等级保护测评机构推荐资质的测评机构共121家, 除新疆外各省均有获得资质的等级保护测评机构, 其中国家的测评机构有7家, 北京市有10家, 江苏省有14家, 浙江省、山东省各有7家, 广东省有6家, 其他省、自治区、直辖市有1-5家不等。25个行政区建立了等级保护专家组, 共确定441名专家。

2.2 信息安全等级保护的政策体系初步形成

为组织开展信息安全等级保护工作, 国家相关部委 (主要是公安部牵头组织, 会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门) 相继出台了一系列文件, 对具体工作提供了指导意见和规范, 这些文件初步构成了信息安全等级保护政策体系。具体关系如图1。

《中华人民共和国计算机信息系统安全保护条例》和《国家信息化领导小组关于加强信息安全保障工作的意见》分别是开展信息安全等级保护工作的法律依据和政策依据。《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》是在法律依据和政策依据的基础上制定的政策文件, 其为等级保护工作的开展提供宏观指导。在上述基础上, 针对信息安全等级保护工作的定级、备案、安全建设整改、等级测评、监督检查的各工作环节制定具有操作性的指导文件。政策体系的形成, 为组织开展等级保护工作、建设整改工作和等级测评工作提供了指导, 明确了各环节的工作目标、工作要求和工作流程。

2.3 信息安全等级保护的标准体系基本完善

为推动信息安全等级保护工作, 全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准, 汇集成《信息安全等级保护标准汇编》, 为开展等级保护工作提供了标准指导。这些标准与等保各环节的工作关系如图2所示。

《计算机信息系统安全保护等级划分准则》及配套标准是《信息系统安全等级保护基本要求》的基础。《信息系统安全等级保护基本要求》是信息系统安全建设整改的依据, 信息系统安全建设整改应以落实《基本要求》为主要目标。《信息系统安全等级保护定级指南》是定级工作的指导性文件, 为信息系统定级工作提供了技术支持。《信息系统安全等级保护测评要求》等标准规范了等级测评活动, 为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准, 用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。

2.4 信息安全等级保护的工作取得一定进展

各重点行业根据等级保护的政策要求开展了本系统内的等级保护工作。为落实相关等级保护政策有关行业制定了自己的行业标准, 例如《广播电视相关信息系统安全等级保护等级指南》、《水利网络与信息安全体系建设基本技术要求》等。金融领域, 人民银行出台了《中国人民银行关于银行业金融机构信息系统安全等级保护等级的指导意见》, 并于2012年发布了金融行业的《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息系统信息安全等级保护测评指南》等三项行业标准, 在采用《信息系统信息安全等级保护基本要求》的590项基本要求的基础上, 补充细化基本要求项193项, 新增行业特色要求项269项, 为金融行业开展关键信息系统信息安全等级保护实施工作具奠定了坚实基础。

测评和安全建设工作有序开展。截止到2012年底, 全国已经开展了5万多个第二级信息系统和4万多个三级系统的等级测评, 并完成了相应的信息系统的等级保护安全建设整改。2012年底, 全国性银行业金融机构完成了880个二级以上信息系统的定级评审。2012年对反洗钱中心、征信中心、清算中心和金融中心的48个重要信息系统进行了测评, 共发现4284项安全问题, 整改完整3451向, 通过整改后其信息系统的整改测评率达到了90%以上。

3 我国信息安全等级保护存在的问题

3.1 信息系统运营使用单位对等级保护工作的重视程度还不够

近年来信息安全等级保护主管部门高度重视等级保护工作, 制定相关政策和标准, 举办等级测评师培训等, 但信息系统主管部门以及全社会对信息安全等级保护在信息安全保障体系中的基础性地位认识还不到位, 难以将等级保护制度和已有信息安全防护体系相衔接, 工作方式简单, 手段缺乏, 甚至出现以其他工作代替信息安全等级保护工作的消极倾向。同时, 在工作中, 一些企业还存在不愿投资, 不愿受监管的思想, 为节省人力、物力、财力将本该定为三级的重要信息系统定位二级, 这些都影响信息安全等级保护制度的全面落实。

3.2 等级保护属于合规性被动防护与目前信息安全主动防御需求还有差距

信息安全等级保护属于政策性驱动的合规性保护, 这种合规性保护只关注通用信息安全需求, 并且属于被动保护, 对于当前信息安全保护中的主动防御要求还有差距。例如, 中国铁路客户服务中心12306网站定义为等级保护四级, 2012年, 曾暴露出被黑客拖库, 以及因机房空调问题停止服务等问题, 而这两项内容都在等级保护规范中有明确的要求。所以, 认为通过等级保护的评测就不会出问题显然是一种误区。

另外, 2010年“震网”病毒事件破坏了伊朗核设施, 表明网络攻击由传统“软攻击”上升为直接攻击要害系统的“硬摧毁”。2013年曝出的棱镜门事件, 2014年曝出的美国国安局入侵华为服务器等, 这些事件表明当今信息安全的主要特征是要建立主动防御体系, 例如建立授权管理机制、行为控制机制以及信息的加密存储机制, 即使信息得到泄露也不会被黑客轻易获得。而等级保护是一种被动的、前置的保护手段, 与当前信息安全保护所要求的实时的、主动防御还有一定的差距。

3.3 现有防护手段难以满足新技术发展应用中的信息安全需求

信息安全等级保护政策标准的滞后, 难以满足新技术应用的信息安全需求。例如, 当前的物联网、云计算、移动互联网的应用呈现出新特点, 提出了新的安全需求, 在网络层面原本相对比较封闭的政府、金融、能源、制造系统开始越来越多的与互联网相连接;计算资源层面, 云计算的应用, 呈现出边界的消失、服务的分散、数据的迁移等特点, 使得业务应用和信息数据面临的安全风险愈发复杂化。用户终端层面, 移动互联、智能终端大行其道, BYOD的应用等, 都为企业信息安全管理提出新挑战。

大数据的应用, 很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况。针对这些边界逐渐消失, 服务较为分散, 应用呈现虚拟化, 敏感业务数据放在相对开放的数据存储位置, 等级保护的“分区、分级、分域”保护的原则已无法有效应用。如何有效满足新技术应用下的信息安全需求, 也是等级保护下一步需要考虑的内容。

4 进一步做好信息安全等级保护的相关建议

4.1 扩大宣传力度, 提高全社会对等保的重视程度

等级保护是我国信息安全建设的基本制度, 需提高全社会对等级保护的重视程度, 尤其是要提高信息系统主管部门对信息安全等级保护工作重要性的认识。在工作中, 可以通过重要信息系统之间的项目依赖性分析, 关键部门影响性分析等方法, 来增强信息系统主管部门以及全社对信息系统信息安全重要性的认识。在各行业、企业内部, 应当通过加强宣传教育培训, 提高信息系统使用和运维人员的对信息安全等级保护的重视程度。在等级保护工作推进工作中, 对故意将信息系统安全级别定低现象进行严查。

4.2 引入可信计算等主动防御理念, 充分发挥等保在信息安全建设中的作用

要充分发挥等保在国家信息安全建设中的作用, 需要从技术和管理两个方面进行安全建设, 做到可信、可控、可管;并且应当具有抵御来自敌对组织高强度连续攻击 (APT) 的能力, 以满足当前信息安全形势的需求。而可信计算技术可以实现计算处理结果与预期的相一致, 中间过程可控制管理、可度量验证。因此, 可在信息安全等级保护基本要求等技术标准中引入可信计算的理念, 将传统的三重防护上升为可信计算环境、可信边界、可信通信网络组成的可信环境下的三重防护, 从而实现主体的可信计算安全, 进一步实现等级保护主动防御功能, 充分发挥等级保护在信息安全建设中的作用。

4.3 完善等保技术标准体系, 推进等级保护在云计算中的应用

针对当前的物联网、工业控制系统、移动互联网, 云计算应用中带来的数据高度集中、高虚拟化等的特点, 信息安全等级保护应当在等级保护建设时必须加入对终端安全更高的基本需求。例如, 在业务终端与业务服务器之间进行路由控制建立安全的访问路径;通过设定终端接入方式、网络地址范围等条件限制终端登录等。同时在虚拟环境下, 要求安全设备能识别网络虚拟标签, 区分每台虚拟机主机。针对云计算中边界模糊化的特点, 可以通过软件安全实现对动态边界的监测, 保证其安全。具体推进中, 可以通过完善等级保护相关整改建设指南, 等级测评工作指南以及相关技术标准等, 以指导具体工作的开展, 从而以推进等级保护在云计算、物联网、工控领域的等中的应用。

4.4 借鉴经验, 完善等级保护制度设计和体系建设

目前《信息安全等级保护定级指南》确定的对象是信息系统, 《信息安全等级保护基本要求》也是针对自身具备运行的物理环境、网络环境、系统环境和应用以及相关人员和管理体系等完整、标准的意义上的信息系统而提出的, 而对于重要信息系统运行所依赖的网络系统、IDC (互联网数据中心) 、灾备中心等这样的对象, 无论是定级方法、保护要求还是测评结果判定方面等都还存在不合适的地方。

对此可以在定级过程中, 参考美国经验, 引入系统法 (特别是相互依赖性分析) 和象征法, 加深对定级对象的认识, 通过仿真建模等分析技术进行定级合理性的验证。在等级测评过程可以引入风险分析、威胁评价、系统分析等过程加强测评结果的可量化性。同时研究国外相关信息安全建设中的法律体系、标准体系、组织保障体系等, 并在此基础上进行自主创新, 以改进我们等级保护实践中发展的制度设计问题, 提高政策、理论和技术水平。

5 结束语

当前信息技术发展迅速, 信息安全面临的国际形势日益严峻, 信息安全等级保护作为贯穿信息系统整个生命周期的信息安全保障措施, 应当不断完善其法律体系、技术标准体系以及实施保障机制等, 以适应满足新形势下的信息安全需求。

参考文献

[1]《信息安全等级保护管理办法》 (公通字[2007]43号) .公安部, 2007.

[2]《计算机信息系统安全保护等级划分准则》 (GB17859) .

[3]DoD, Trusted Computer System Evaluation Criteria (Orange Book) , 26 December 1985.

[4]Information Technology Security Evaluation Criteria;1994.

[5]The Canadian Trusted Computer Product Evaluation Criteria;Version 3;1993.

[6]Common Criteria Project Sponsoring Organisations.Common Criteria for Information Security Evaluation Part 1-3, Version2.1.Augest1999.

[7]ISO/IEC 15408-1:2005 Information technology——Security techniques——Evaluation criteria for IT security.

[8]国务院.《中华人民共和国计算机信息系统安全保护条例》.1994.

[9]公安部、国家保密局、国家密码管理委员会和国家信息办.《信息安全等级保护的实施意见》 (公信安[2007]861号) .2007.

机房安全等级和分区保护 篇5

（一）市级联社的主机房定为Ｃ级；重要业务系统的微机房定为Ｄ级；县联社管理的机房定为Ｄ级。

（二）机房内部划分为核心区、生产区、辅助区，各区之间应为物理割断。Ｃ级机房划分为核心区和辅助区；Ｄ级机房划分为生产区和辅助区。

●核心区是指安装有主计算机、主通信机、网络通信及控制设备、磁盘机、光盘机等数据存储设备、数据存储介质库、系统操作室等机房要害区域。允许计算机安全管理员、系统管理员或系统值班员等两人以上同时进出，其他人员进入核心区须经部门领导批准并由以上人员之一全程陪同；

●生产区是指信用社业务前端设备操作室、打印机室、数据资料室、介质交接室、运行值班室等金融业务运作区域和各部门或县级联社的微机房。允许经业务部门领导批准的业务操作人员进出，系统开发人员不得进入生产区；维护人员进出须有业务操作人员陪同。在非工作时间进入生产区，必须经主管领导批准，至少有两人同行；

安全等级保护 篇6

关键词：信息安全；等级保护；定级；备案

中图分类号：G203 文献标志码：A 文章编号：1673-8454（2015）21-0012-05

一、背景

近些年来，随着互联网和信息通信技术的发展，信息系统在各行业、各领域快速拓展。随着大数据时代的到来，伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异，保障网络与信息系统安全，已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全，逐步推出了相关政策和工作办法。

二、信息安全等级保护概述

信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]

系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统，为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施，所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理，不涉及国家秘密的系统。[2]

1.信息系统定级备案基本分类

信息系统定级是等级保护的第一步，需分析系统的业务信息类型和系统服务类型，确定信息安全受到破坏时所侵害的客体，确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中，招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏，可能影响学校正常秩序，影响高校正常行使工作职能，侵害学校、教师、学生及部分社会公众合法权益，可能在一定范围内对社会秩序造成影响，可能侵害公共利益，引起法律纠纷等；教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏，可能影响学校正常秩序，影响高校正常行使工作职能，侵害学校、教师、学生合法权益，引起法律纠纷等。[4]

2.高等院校信息系统定级备案的基本原则

为了保护信息安全等级保护工作的科学性、合理性，高等院校的信息系统在实施过程中应遵循以下原则：

（1）自主保护原则。在高等院校的信息安全等级保护工作中，学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护，并接受信息化主管部门的监督、管理。

（2）重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中，依据相关标准建设安全保护体系，建立安全保护制度，落实安全责任，优化信息安全资源配置。

（3）同步建设原则。按照等保要求，在学校新建和改建的信息化项目中，将信息安全建设与系统建设同步规划、实施。

（4）动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时，应根据等级保护管理规范和技术标准的要求重新定级、备案，实施安全保护。

三、高等院校等保定级备案管理办法的研究

1.高校信息安全管理存在的主要问题

目前高等院校在信息安全等级保护备案方面存在着以下问题：

（1）二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。

（2）系统、网站的建设注重业务应用的实现，缺少安全设计和部署，开发环境与生产环境混淆，没有足够的测试急于上线，缺少安全防护意识。

（3）系统的不断改造升级，增加了网络安全的脆弱性，降低了系统的安全状态。

（4）部分二级单位对本单位的信息系统及网站底数不清，依然存在各自为政开设网站的情况，安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。

（5）由于学校人员组织、编制等限制，无法严格按照等保要求组建专门的、专业的安全运维管理组织，配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱，不足以开展安全自查、安全防范和风险分析排查。

针对上述问题，本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等，以改进高校等保定级备案工作。

2.高校信息安全保障机构的建立

以高校现有校院两级管理实体为基础，确定信息安全领导小组、专家组以及信息安全主管部门和责任人，统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制，保证全校的信息安全建设与运维的管理职责得到落实。

本文建立的信息安全保障机构实质上是一个三级机构，如图1所示：

（1）信息化主管部门

信息安全领导小组领导下的信息化主管部门通常包括两类：

一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理，包括网站审批、舆情监控；负责信息安全组织机构的人员信息登记等工作。

另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作；负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全；根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。

（2）信息安全第一责任人

二级单位信息安全第一责任人原则上为本部门一把手，对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任，负责建立和完善本部门网络安全和信息安全组织，统筹本单位的信息系统建设，建立健全本部门信息化管理制度，审批确定本部门信息系统的安全运维方案和应急预案。

信息系统和网站的申请建设、改造升级以及撤销，信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作，报信息化主管部门备案。

（3）二级单位信息安全工作实施小组

二级单位信息安全工作实施小组主要包括四类人员。

①信息安全员

各二级单位须指定信息安全管理员，负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导，协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作：

协助信息安全第一责任人统筹本单位的网络建设和信息系统建设，管理本单位的二级网站和三级网站，包括信息系统安全等级保护定级备案以及自查等实施工作。

负责本单位局域网管理，学校固定IP、域名等网络资源的申请、配置、管理工作。

负责本单位的信息收集与维护工作，保证数据的准确性、及时性，支持校内外信息交流和交换、数据上报。

负责本单位网络安全、信息安全与保密工作，对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。

②系统管理员和网站管理员

系统管理员和网站管理员应是在职教职工，根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作，从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作，保障系统正常、稳定运行。

③信息发布员

信息发布员是网页具体内容的审核发布人员，应保证信息的及时有效性，能根据上级领导或主管部门的要求更新、撤销、归档网页信息。

④资产管理员

通常高等院校各二级单位都有固定资产管理员，虽然这些管理者不是信息化专业人员，但是负责软硬件各类设备的管理，因此也应纳入等保安全保障体系范畴。

3.校内定级备案工作

高等院校，特别是理工类高等院校内的系统/网站繁多，且教学、科研、服务等应用目标不同，管辖等级不同（校级、院部处级、实验室以及群团组织等），但无论系统大小都应按照有关法律法规进行等级保护定级备案。

各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求，参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级（高校一般不涉及四、五级系统），实施安全保护。原则上安全等级应不低于建议级别；对于承载复杂功能的信息系统，安全等级可高于建议级别；对于承载多个业务功能的信息系统，应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]

本文设计的高等院校内部定级备案工作流程如图2所示。

本工作流程中，等级保护定级备案的关键节点在于二级单位在新建系统或网站时，需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作，以防疏漏。

如果是校级系统、二级单位重要业务管理系统，通常需要经过经信委等上级主管部门的审批，因此可以在立项之时就进行相应的定级备案、安全规划，落实信息安全等级保护相关控制，以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。

4.自查监察管理办法

（1）等保自查

学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点，对管辖范围内的信息系统依据保护级别制定安全策略，规范管理和技术实施，并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果，上报主管部门备案。

（2）安全监控

信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态；从物理环境、网络、系统、应用、数据，到最终的用户终端汇集安全监控审计信息（详见图3），并进行分析及时发现安全隐患，提供可能的解决方案和技术支持。

信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作，完成每年度的信息安全等级保护工作汇报，保障敏感时期的信息安全保障工作。

（3）整改管理办法

对于自行发现的安全隐患以及上级下达的整改通知，信息化主管部门通知二级单位，落实人员限期实施整改，并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后，二级单位以书面形式上交整改报告，说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统，信息化技术主管部门有权停止网络服务，经核准整改效果后方可销案，同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组，寻求领导层和校外专业团队的指导。

四、高等院校等保定级备案管理系统探究

信息安全等级保护定级备案以及自查整改的实施，大多是信息采集、录入和管理工作。然而又不同于一般的行政管理，需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。

目前已经有公司推出了信息安全等级保护综合管理系统，通过应用软件实现各种备案信息的录入、批量导入/导出、审核，从而进行备案信息的查询、检索和统计，以及为上级主管部门提供本单位的信息系统备案状况。但是，这些系统大都缺乏分层管理、数据关联、约束检查，使等保信息还是处于分散的状态中，也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发，讨论此类系统的设计思想，以实现定级备案工作在高校实施中的有效落地。

1.数据关联与约束（见图4）

建立信息安全保障体系对照表，通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统，分别是几级系统；可以知道每个系统使用了哪些固定资产，管理员是谁；可以知道每个系统建立或使用了哪些制度，是校级的还是二级单位内部的，等等。例如，通过上述关联可以很容易得到如表1所示的查询统计表。

而从表2不仅可以获得二级单位各系统的资产信息（软硬件），而且可按系统、部门进行汇总计算，获得国外产品百分比统计等信息。

通过资产编码Assets_code关联资产信息和资产检查表，按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果，并记录日期，可以用作后续的变更记录和跟踪。

通过系统编码System_code从系统定级信息获取系统安全等级G_level，对应到管理要求表得到相应的检查项信息，再根据“制度-管理检查项对照”自动获取校级制度，便于二级单位的管理制度检查信息的填报。

这些关系的建立，不但可以获得更多的级联信息，而且可以进行约束。例如，通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度；通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备，等等。

2.数图关联

资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步，以确定学校各系统的资产，明确责任人、物理位置、使用情况以及数据信息交互情况。

高校信息系统的资产管理大多还处于手工管理的离散状态，即便有固定资产管理系统，也只是从财产角度对各类资产进行注册在案（其分类与信息化角度不同），没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。

本文建议建立基于拓扑结构图的信息系统资产管理，便于基础信息的录入、等保检查项检查和直观展示。因为，如果只是通过二维表或者树状结构图的形式输入资产信息，难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理，可以通过图形符号的方式建立资产之间的关联，便于掌握一个系统的整体资产情况。例如，一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产，逐一录入（包括没有固定资产的免费资源）。如果少了哪一层资产没有填报（没有需说明理由），即当前备案信息尚不完备，则该系统应该是不允许访问的状态。从等保管理要求，信息化主管部门就可以停止其运行服务。

五、结束语

每个高等院校都会有自己的信息化组织机构、管理制度和办法，信息化建设进程也不尽相同，在具体应用《信息安全等级保护基本要求》时，不应一味追求所有的安全项，而是要根据学校自身信息化建设情况、特点，兼顾可操作性设计和实施信息安全体系建设，稳步渐进地落实等级保护工作。

参考文献：

[1]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社，2008.

[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http：//www.ict.edu.cn/laws/difang/n20140623_14386.shtml，2014-06-23.

[3]沈昌祥，信息安全保障建设中的等级保护[J].信息技术与标准化，2007（11）.

[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南（试行）[Z].2014.10.

高校信息系统安全等级保护研究 篇7

关键词：高校,信息系统,安全等级,保护

随着信息技术的迅猛发展和计算机网络的快速普及,信息系统在各行业、各领域得到广泛应用。高校作为学术研究的重要阵地,信息化建设高速开展。校园网、信息系统的建立,为学校教学、科研和管理提供资源共享、信息交流和协同工作的网络平台,并且已成为高校信息化建设的重要组成部分,同时也是衡量一个高校教育信息化、现代化的重要标志。大数据、云计算、“互联网+”等新技术出现的同时,伪基站、BIOS(基本输入输出系统)后门、木马僵尸、SQL(结构化查询语言)注入、DDOS(分布式拒绝服务)攻击等各类网络攻击层出不穷、攻击方式变异频繁,因此,保障网络与信息系统安全,已成为高校信息化发展中迫切需要解决的重大问题。

1 信息系统等级保护

信息网络的全球化使信息网络的安全问题日益严峻,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。信息系统安全最重要的3 个属性是机密性、完整性与可用性。

信息系统等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度,针对信息的机密性、完整性和可用性要求及信息系统必须要达到的基本安全保护水平等因素,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

2 高校信息系统安全现状

为保证高校信息系统安全性,对信息系统按重要程度、数据的机密性等进行不同等级的划分并按级别进行保护是必要的。目前,高校信息系统的安全等级保护主要存在以下几个问题。

第一,思想认识不到位。部分高校对信息系统安全等级保护工作认识不足,认为信息系统定级过高会提高管理成本,造成不必要的麻烦。

第二,在信息安全方面的资金投入不足,等级保护工作整改不到位。部分高校学校经费紧张,信息化建设主要投资在校园网络的基础设施,针对网络安全方面的专项投入不足。

第三,未建立相应的安全管理机构和安全管理制度,一些必要的管理制度没有制定。此外一些管理制度修订不及时,已经不能满足当前系统安全管理的需求。

第四,专业技术力量较弱,技术防护与制度落实不彻底。部分高校网管人员专业技术力量较弱,一些不属于网络中心的网络处于无人监管的状态。

第五,部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护也不统一。此外,还存在科研教学机构替其他用户单位在校内开发、运营系统的情况。

第六,在建设网络安全体系时,存在重技术、轻管理的现象。许多安全设备处于系统默认配置,安全设备不能起到应有的作用,部分系统没有配备安全管理员。

3 高校信息系统等级保护

3.1 实施流程

高校信息系统安全等级保护的实施应按照公安部门及教育主管部门的相关文件要求严格执行,其主要包含明确责任主体、自主定级、专家评审、主管部门审核批准、公安机关备案、差距测评、安全整改建设、验收测评等流程。

第一,明确责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。

第二,自主定级。首先要确定本单位有哪些符合定义的信息系统需要做等级保护工作。在定级时要坚持自主定级、自主保护的原则。参照《信息系统安全等级保护定级指南》,根据本单位实际情况,对本单位的信息系统作自我评估,完成自主定级。

第三,专家评审。主管单位完成信息系统自主定级后,聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见,以求准确对信息系统进行定级。

第四,主管部门审核批准。主管单位完成信息系统专家评审后,填写《信息系统安全等级保护定级报告》《信息系统安全等级保护备案表》和信息系统安全等级保护专家评审意见等材料报送至所属教育主管部部门进行审批,并出具行业定级意见。

第五,公安机关备案。高校定级为二级及以上的信息系统需要到当地公安局网监部门备案审核。

第六,差距测评。完成定级、备案后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统安全保护状况开展差距测评,并编写差距测评报告及整改建议。

第七,安全整改建设。高校根据差距测评报告和整改建议,针对存在安全问题的信息系统,有针对性地进行整改建设,提高信息系统的安全性。

第八,验收测评。完成安全整改建设后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统开展验收测评,编写验收测评报告,并送至公安机关备案,以完成安全等级保护工作。

3.2 保障策略

高校信息系统的等级保护存在各种各样的问题,以至于等级保护工作落实不到位,为保证安全等级保护工作顺利进行,应采取如下保障策略。

第一,提高安全意识。信息安全等级保护管理部门应加大信息系统安全等级保护工作的宣传力度,定期召开由各高校有关信息系统部门负责人参加的信息安全等级保护相关会议,宣传信息安全等级保护工作的重要性和意义,促使高校加强对信息系统的安全意识。

第二,增强技术能力。高校信息系统安全,需要强大的技术团队作支撑。在开展安全等级保护工作中,专业的技术能力是保证测评工作和整改工作顺利高效进行的基础。因而,应注重技术能力的培养和提高。

第三,建立安全管理机构、健全安全管理制度,保证信息系统安全的专项预算。针对高校信息系统,应及时建立及更新各项管理制度,以达到安全等级保护的要求,并满足系统安全管理的需求,同时在制度中规划高校信息系统安全建设的整体方针,并保证网络安全方面的专项投入。

4 结语

高校信息系统的安全至关重要,信息系统安全等级保护是保障信息安全的重要屏障。充分了解高校信息系统安全的现状和存在的问题,并严格按照等级保护的要求、实施流程对高校信息系统进行等级保护,建立高校信息系统安全等级保护完整体系,有利于高校信息系统的安全保护。

参考文献

[1]冼伟铨,王厚奎.等级保护要求下的高校Web安全[J].信息安全与技术,2012(2).

[2]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.

[3]路萍,翟跃.信息安全等级保护备案在高等院校中的研究与实践[J].中国教育信息化:高教职教,2015(21).

[4]刘玉燕.高校信息安全等级保护评测[J].信息技术,2011(2).

基于等级保护的应用系统安全 篇8

信息系统安全等级保护, 就是根据信息系统的重要性对其划分等级, 实行分级保护制度。我国早在1994年颁布的《中华人民共和国计算机信息系统安全保护条例》 (147号令) 中就规定“计算机信息系统实行安全等级保护”, 又于1999及2008年分别发布国家标准“《GB17859-1999计算机信息系统安全保护等级划分准则》”和“《GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》”进一步推动等级保护工作的开展。

目前我国信息系统安全建设和管理仍然存在很大的盲目性。很多单位既不清楚如何建设才是安全的, 也不清楚如何检查其信息系统的安全状况, 更不知道如何有效改进和完善。国家推行等级保护制度, 就是为了使系统的建设、管理更加科学化、标准化和规范化。

按照标准《GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南》, 我国非涉密信息系统共分为五级:如图1所示:

二、测评要点

应用系统是整个信息系统的核心部分, 也是最贴近最终用户, 面临威胁最多的一部分, 在信息系统中占据了重要安全位置。以下仅就应用系统测评的部分技术要点进行分析说明 (根据目前较多的二级系统测试标准为例) 。

●身份鉴别

首先要保证系统用户名的唯一性, 不可创建重复身份标识的用户;应对用户口令设置强制措施, 不允许设置或修改不符合安全要求的口令, 避免弱口令的产生;采取结束会话、限制登录次数等方式限制非法的对应用系统的登录, 并对登录失败后的提示信息模糊化, 不要单独出现类如“口令失败”、“用户名错误”等可对猜解用户名、密码起提示作用的信息。

●访问控制

系统应能对用户角色及其所访问的范围、权限进行有效控制, 避免出现权限混乱、越权访问现象;对于系统的默认用户, 尤其是默认管理员如Admin, Root等, 要尽量修改为不易被猜测的用户名, 对于无法对默认管理员ID进行修改的, 要设置足够强壮的口令并严格限制其访问权限;系统用户权限设置要遵循最小原则, 仅赋予完成其工作所需的最小权限, 特别是管理员、审计员等特殊管理权限要分离, 如可进行用户权限管理的帐户无法查看、修改日记记录等, 系统不可由同一帐户同时拥有多个系统管理权限。

●安全审计

系统审计应记录所有用户的操作, 至少要包含事件的发起者、时间及结果等内容;特权帐户对系统的重要操作如创建用户、修改权限等, 一定要记录详细, 做到有据可查、责任到人;审计记录应该受到保护, 未被授权的帐户无法查看, 即便是授权帐户, 其权限也应该受到严格限制, 对审计记录的查看、修改、删除等都要有严格控制及记录。

●软件容错

如果说应用系统是整个信息系统中与用户密切程度最高的部分, 那么采集用户数据的人机接口就是重中之重, 系统应对人机接口或通信接口的输入进行严格的控制和过滤, 防止用户意外和恶意的不符系统要求数据的输入;除此之外, 系统服务独立性要强, 当某功能、模块发生故障时, 不影响其他功能、模块的正常运行, 至少不能影响到系统重要保护功能, 如对重要数据的保存等。

●资源控制

系统要保证正常授权用户的访问资源, 根据业务量及实际访问用户, 对并发用户数量进行限制;严格控制同一用户尤其是具有管理权限用户的多重并发访问, 保证用户操作和管理的唯一性, 且在用户登录一段时间内没有任何操作后, 能自动结束会话, 保证用户的安全性, 减轻服务器负担。

三、结束语

随着技术的进步, “三分技术, 七分管理”已无法适应如今的系统运营。应加强技术手段在信息系统运营中所占的比重, 避免过于依靠管理制度所面临的各种人为因素, 利用技术手段强制实现某些管理要求, 真正做到“技管并重”。依据国家标准对系统进行定级, 等级保护, 可帮助信息系统主管部门认清自身系统的重要性, 全面了解系统安全性, 根据系统等级不同, 进行相应的保护和投入, 避免形成“欠保护”和“过保护”的现象, 更科学的保护信息系统, 保卫国家信息安全。

参考文献

[1]信息安全技术, 信息系统安全等级保护基本要求[S].GT/T22239-2008.

信息安全等级保护工作困境的对策 篇9

随着计算机信息网络在社会工作与生活各个领域中的不断应用,信息系统安全等级保护制度成为发达国家保护关键信息基础设施、保障信息系统安全的通行做法。我国在不断总结与分析保护信息系统安全工作基础上,最终也提出了开展信息系统安全等级保护的制度,对信息系统分等级进行保护,旨在保护重要的信息系统。开展信息系统安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。

虽然我国对于信息系统安全等级保护工作的重视程度较以往有了提高,但是在实际操作中仍然存在很多困境。作为信息领域中一个新的课题,我国开展此项工作仍然处于发展阶段,实践工作中有针对性研究的比较少。因此,有必要对信息安全等级保护工作存在的困境提出适宜的解决对策,以求信息系统等级保护工作能够顺利、积极的开展。同时,本研究有着非常宽广的探索空间和拓展领域,

1 信息系统安全等级保护概念与等级划分

信息系统安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

2 信息系统安全等级保护工作中待解决困境

信息系统安全等级保护制度从2007年6月在全国范围内的重要信息系统普遍开展起来,取得了卓有成效的成绩,对保护重要信息系统起到了保障作用。但是在信息系统安全等级保护工作在开展过程中仍然存在一些困境,具体如下:

(1)全国开展信息系统安全等级保护工作的不均衡性;

(2)信息系统安全等级保护实际工作中存在定级不准确性;

(3)开展信息系统安全等级保护工作安全意识有待提高。

3 信息系统安全等级保护工作困境的对策

当前在开展信息系统安全等级保护工作过程中暴露出的一系列困境,必须采用相应措施予以解决,否则将不利于信息系统等级保护工作的继续发展。

3.1 广泛并深入开展全国范围的信息系统安全等级保护工作

广泛并深入开展全国范围的信息系统安全保护等级工作,是开展信息系统等级保护工作的一项重要措施。重要的信息系统分布在全国各地,只有在全国范围内普遍并且深入地开展了信息系统等级保护工作,重要的信息系统才能够得到有效保护,才能够保障社会秩序与社会生活的平稳发展。

公安信息安全主管部门应该组织协调信息系统安全等级保护的全面与均衡发展。信息系统等级保护工作开展好的地方应该加大宣传与交流,总结经验、工作方法和思路,提供给其他地方作为借鉴。对于信息系统等级保护工作开展欠全面的地方,公安信息主管部门应该给予必要的指导与支持,督促其尽快全面地开展信息系统等级保护工作。

3.2 提高信息系统安全保护意识

如果要达到有效地保护重要信息系统的目的,就必须要提高各个环节的安全保护意识。意识未提高到一定高度,安全保护的措施就不会有效跟进,更谈不上有效保护重要信息系统。因此,公安机关不仅要提高自身的安全保护意识,更要做好宣传与教育工作,提高信息系统运营使用单位的安全等级保护意识,督促其完成信息系统安全等级保护工作。

3.3 明确各方的责任义务、通力合作

《信息安全等级保护管理办法》中明确了国家、信息安全监管部门、信息系统主管部门、信息系统运营使用单位的责任义务。这些部门在工作中应该通力合作、各尽其责,共同完成信息系统等级保护工作。

其中,公安机关的责任义务组织制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统实行分等级安全保护,对等级保护工作的实施进行监督、管理。同时,还负责信息安全等级保护工作的监督、检查、指导。

3.4 严格按照定级流程定级

在确定信息系统安全等级时,应该按照定级流程进行定级。流程如下:

1摸底调查→2确定定级对象→3确定信息系统等级→4信息系统等级评审→5定级报告→6备案与备案审核→7测评→8整改。

3.5 严格执行分等级监管

《信息安全等级保护管理办法》规定,信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。如表1所示。

4 结语

有效的保护重要的信息系统,深入开展全国范围内的信息系统安全保护等级工作是一项重要措施。及时发现开展信息系统等级保护工作中存在的困境,并及时有效地解决可以促进保护重要信息系统。提高信息系统安全保护意识是基础环节,各部门通力合作是工作保障,准确定级是首要任务,严格执行分等级监管是充分体现。希望本文能够为今后更加深入地开展信息系统安全等级保护工作提供参考。

摘要：信息安全等保工作时我国保护信息安全的一项基本工作,为保护信息系统安全作出了很大贡献。但是,在实际开展工作时,仍然遇到了许多现实的困境急需解决,阻碍了信息安全等级保护工作的发展。本文从信息安全等级保护工作的基本内容出发,并介绍了信息安全等级保护工作的困境,最后有针对性地提出了解决这些困境的对策,希望能为公安机关开展信息系统安全等级保护实践工作提供参考。

电力信息系统安全的等级保护实施 篇10

伴随着我国经济社会的快速发展以及越来越多的信息、通信技术被使用, 智能化电网也随之快速发展壮大, 然后伴随的问题是其信息网络安全问题日益突出, 黑客入侵以及网络攻击现象日益增多, 要就要求电力企业相关部门加强信息技术的安全防护对策。目前, 电力从生产到分配会大量采用各种信息系统和形形色色的各类自动化设备, 比方说发电厂计算机监控系统和配网自动化系统等等很多, 这里不一一列举。电力系统安全防护是一个重大的任务, 它涉及到国家的安全, 如果一旦发生大面积停电事故, 就可能导致很大的经济损失, 甚至会影响国家安全或者社会稳定, 所以说加强电力信息系统的安全等级保护势在必行。

1 信息安全等级保护

1.1 信息安全保护等级的划分

对信息系统安全保护等级的主要影响因子有2个:一是其在国家发展进程中的重要性;二是一旦被故意或者偶然损坏后对这个国家经济与社会发展的危害程度。这个等级往往分为下面5个等级:

第一级:用户自主保护级信息系统遭受破坏, 它可能会影响到当事人以及其所在组织一定程度地利益损失, 然而对整个社会发展的稳定、集体的利益或者国家的安全都没有很大的损伤。这种信息系统的重要性和所采取的安全防护措施都根据用户自己来决定。

第二级:系统审计保护级信息系统遭受破坏, 这种情况的发生会对所在组织机构和当地人民群众利益遭受程度较大的危害, 也会影响到社会的稳定和集体的利益, 然而对国家安全无影响。

第三级:安全标记保护级信息系统遭受破坏, 这种情况的发生会对整个社会的稳定以及集体造成影响重大的损伤, 也会对国家安全产生很大威胁。这个等级同时有着系统审计保护级的全部信息保护功能, 在这个基础上它也会强制对系统进行监查并记录全部内容, 主要监控的是访问者以及所访问的对象。

第四级:结构化保护级遭到破坏, 这种情况的发生会使得相关组织机构以及人民群众利益受到巨大的损伤, 同时对整个社会的稳定和集体的利益以及国家安全产生了特别重大的危害。

第五级:访问验证保护级信息系统遭受破坏, 这种情况的发生会使得国家安全受到极其严重的危害。此级别具有上面几个所有级别的功能, 同时对系统设置访问验证保护, 这样做不仅可以记录访问者以及该访问者对系统的访问历史, 另外对访问者的访问权限进行设定, 最大限度保证信息安全不泄露。

1.2 信息安全等级的划分

1.2.1 按相关政策规定划分安全保护等级

在进行信息安全保护时, 有一些需要特殊保护和隔离的信息系统, 比方说国防部、国家机关或者重点科研机构等特殊机构的信息系统。针对这种系统, 要特别严格, 根据有关的信息安全等级保护的相关政策等法律法规的要求, 对其系统进行防护。

1.2.2 按照保护数据的价值划分保护等级

针对被保护的信息的类别及价值的不同, 设置不同的安全保护等级。这样做是为了在保护信息安全的同时最大限度减小其运作的投入。

2 电力信息系统安全等级保护防护要求

电力信息系统安全等级保护要求重点对象是等级保护三级以上的系统, 换句话说就是监督检查级与强制监督检查级。安全等级防主要发挥以下作用:一是能够使企业可以抵制外来的或者说是敌对组织的不怀好意的对系统的破坏;二是防止企业内部人员与外部势力勾结而进行的对系统的破坏;三是对安全事件记性审核登记;四是能够追查审核违规违法行为等等。电力信息系统安全等级防护要求的系统设计到电力生产控制系统、生产管理系统、管理信息系统、网站系统以及信息网络系统, 具体有下面这些系统:220 KV以上的变电站自动化系统、单机容量300兆瓦及以上的火电机组控制系统DCS含辅机控制系统等许多形形色色各类信息系统。

3 信息安全等级保护的方式

信息安全等级保护有两类, 具体如下两种:

3.1 物理安全保护方面

此类保护又可以从两个安全角度进行划分:一是必要考虑:针对主机房等场所设施, 要采取安全防范工作。需要使用比较先进的技术设备以便达到可以进行室内监控、使用用户信息登记以及自动报警等措施, 可以监控记录用户及其访问情况, 以便日后追查。而使需要考虑:针对主机房以及重要信息存储设备, 则应该采取多路电源同时接入的措施以保护电源的可持续供给性, 防止一旦发生断电会给入侵者制造入侵的机会。

3.2 网络系统安全保护方面

针对于不同安全保护对象的不同, 存在不同的保护方法。详细方法有以下几个:

3.2.1 已确定安全等级系统的安全保护

如果整个系统中有安全等级相同的信息系统, 这种情况下, 对于它的每一个地方、每一处信息应该根据国家标准使用统一安全保护方法给其设计完整的安全机制。如果有安全等级不同的系统, 则要对它的不同的地方以及信息根据不一样的安全要求进行安全防护。

3.2.2 网络病毒的安全保护

网络安全中一个很大的毒瘤是计算机病毒, 因此说防止病毒的入侵对系统进行破坏在信息系统安全保护过程中是至关重要的一个步骤。防止病毒入侵方式多种, 目前常常使用防火墙等阻挡病毒入侵, 有的也会采取给程序加密、监控系统运行情况等来观察病毒入侵与否, 能够尽量最快发现入侵的病毒并予以杀灭, 从而保护计算机信息系统。

3.2.3 漏洞扫描与修复方法

系统存在漏洞会对系统有一定的潜在危害, 许多入侵者往往会利用系统中已有漏洞对系统展开攻击, 所以说要频繁对计算机进行全面的漏洞扫描, 采用一定方式找出系统里的漏洞同时给予修复等措施, 从根源上防止非法入侵者通过这个手段对系统进行破坏。漏洞的修复方式有2种:系统自动修复和人工手动修复, 现实条件中, 不可能存在绝对完美不含漏洞的系统, 所以说要隔段时间就要对系统进行漏洞扫描修复, 从而保证系统的安全性。

4 电力信息系统等级保护实施

信息系统是在社会经济、生活以及实际工作的进步和需求的基础上设置的, 它在一定程度上是社会组织机构以及行政组织机构的反映, 它的安全保护等级也应该符合客观实际的条件以及社会发展的规律要求。如何进行电力信息系统等级保护?主要从下面几个方面进行把关:

4.1 电力信息系统定级与备案

信息系统的运营以及使用单位需要根据它处理信息的实际情况 (包括其敏感程度等) , 结合等级保护的管理规范和技术标准, 还要根据国家对信息系统保护的相关原则, 明确其信息系统的安全保护等级, 并报其主管部门审批同意。如果有很多子系统的信息系统, 它不仅应该保障信息系统安全互联以及有效信息共享, 还应当结合等级保护的具体情况 (各子系统的重要程度等各类) , 对各个保护等级进行各自划分。如果是安全保护等级在三级以上的信息系统, 就需要由运营、使用单位报送本地区地市级公安机关进行备案。如果是跨地域的信息系统, 同上面类似, 备案部门为所在地的同级公安机关。如果是第五级的信息和信息系统的监督检查, 要求更为严格, 需要由国家指定的特殊部门、特殊机构根据相关规定严格执行。

4.2 电力信息系统等级保护安全建设与整改

如果信息系统已经存在, 这种情况下, 运营和使用单位需要做的就是明确其安全保护等级。根据明确的等级的保护桂发来购买合适的信息安全产品, 这样可以建立起来一个合理的安全防护措施促使系统很好的整改。对于那些新建以及改扩建的系统则也应该根据相关等级保护管理规范从设计到施工上进行严格要求。

4.3 电力行业定期自查与监督检查

对于已经完成安全等级保护措施的额信息系统, 其运营和使用单位等主管部门需要根据等级保护的管理规范进行检查评估, 一旦发现问题就立马进行整改, 从本质上加强和完善自身信息安全等级保护制度的建设从而增强自我防护能力。对防护要求很高的重要信息系统则要每年进行1~2次的自身检查, 如果自查不合格就需要整改。

4.4 信息安全保障体系的建立与落实

通过信息安全保障体系的建设可以用来提高源于人、管理以及技术三方面所形成的预示能力、防护能力等各类对待系统安全的能力, 可以对信息系统的安全属性及功能以及效率上开展动态保护, 所谓安全属性指的是信息系统和它的基础网络的真实可用性、完整保密性等安全属性。采取这种方式能够使得应用服务的效率和效益提升, 可以促使电力信息化的学术研究长远发展。

5 结束语

如何创设一个能够持续发挥作用的电力信息系统安全等级保护制度来为企业的信息进行各个方面的防护?这是一个永不落幕的话题。但是根据当前现状, 许多企业的信息安全等级保护还没有发挥出作用, 正处在一个初级阶段, 任重而道远。这个工作需要各个专家、各个学科的专业人士一起探讨研究, 更好的保护信息安全。当前随着信息技术的不断改革进步, 信息安全等级保护技术和水平也要随着进行加快更新, 这样才能在出现信息安全问题的时候以最快时间解决问题, 也能使得信息安全等级保护政策可以又好又快的落实。

摘要：对信息安全等级的保护措施在电力信息网路中一个十分重要同时又需要持续跟进加强的一个过程, 采取信息安全等级保护可以在很大程度上帮助电力企业建立安全建设的长效机制, 从而促使电网的安全性, 保证期可靠运行。而在现实工作中, 要结合实际条件加以改进防护等, 能够充分组建电力信息系统安全等级防护规范, 这样以来, 在现实工作中, 能又快又好的进行安全防护的作业。

关键词：信息安全,等级保护,安全技术,网络系统

参考文献

[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用, 2012.

[2]朱世顺.电力生产控制系统信息安全等级保护研究[J].电力信息化, 2012.

小白菜自述:安全食品等级 篇11

无公害农产品

说明：是指产地环境、生产过程、产品质量均符合国家有关标准和规定，经认证合格获得认证证书，并允许使用无公害农产品标志的，未经加工或初加工的食用农产品。主要强调其安全性是最基本、最起码的标准。无公害农产品以规范农业生产、保障基本安全、满足大众消费为基本目标。

“无公害”小白菜的自白：当还是一粒小白菜种子的时候，我被种在了一个菜园里，土壤和灌溉水都还不错。我在成长的过程中难免会受到病虫害侵袭，有时也可能有营养不良，我会被给予一些化肥、农药，不过，这些化学品都是符合国家规定的。当长成后，经过检验合格，我被挂上了无公害农产品的标志，大部分的农产品都是我的这个级别。绿色食品

说明：是指遵循可持续发展原则，按照特定生产方式生产，经专门认证机构认定，许可使用绿色食品标志商标的食品。绿色食品是无污染的安全、优质、营养类食品，是从普通食品向有机食品发展的一种过渡性产品。在生产过程中使用限量化学肥料的，称为A级绿色食品，绝对不使用任何化学药品和添加剂的，称为AA级绿色食品。绿色食品以提高生产水平、满足更高需求、增强市场竞争力为目标。

“绿色”小白菜的自白：我在无污染的土地上生长，喝的是无污染的水，所以我的身体素质比较好，很少生病。一般情况下，我们在生长过程中，如果没有使用任何化学药品和添加剂，在通过认证后可以被授予AA级绿色食品的标志。如果使用了一定量的化肥，就只能被授予A级绿色食品的标志了。有机食品

说明：是指在生产加工过程中不得使用人工合成的化肥、农药和添加剂，并且不允许使用基因工程技术，通过合法的有机食品机构认证，允许使用有机食品标志的农副产品及其加工品。有机食品是比绿色食品更高标准的安全食品。有条件不妨选购。有机食品以保持良好生态环境，人与自然的和谐共生为目标。

“有机”小白菜的自白：我是最幸运的了，因为我的生长环境要比“无公害”和“绿色”小白菜优越得多。我的生产和加工过程中有严格的质量管理体系和追踪体系，不能给我用农药、化肥、激素、抗生素、食品添加剂等，不能用基因工程技术。我必须经过严格的认证后才能被授予有机食品的标志，这是一种很高的荣誉。记住“金字塔形”标志

概括来说，无公害农产品、绿色食品、有机食品都是经质量认证的安全农产品。无公害农产品是绿色食品和有机食品发展的基础，绿色食品和有机食品是在无公害农产品基础上的进一步提高。

无公害农产品、绿色食品、有机食品都注重生产过程的管理。无公害农产品和绿色食品侧重对影响产品质量因素的控制，有机食品侧重对影响环境质量因素的控制。因而，从各种因素综合考虑这几类农产品在层次上可以表示为：

“纯天然食品”、“野生食品”≠ 绿色食品

无公害农产品、有机食品、绿色食品都是农业部组织实施的我国农产品质量安全认证的基本类型，三者都属于安全农产品的范畴。而“纯天然食品”、“野生食品”则只是商家的宣传用语，没有严格的控制标准，仅仅是社会对于该类食品的泛称，我国也从未对该类食品有过认定或制定标准。

安全等级保护 篇12

2015年2月3日,中国互联网络信息中心(CNNIC)在北京发布的《第35次中国互联网络发展状况统计报告》显示,截至2014年12月,我国网民规模达6.49亿,互联网普及率为47.9%。 在网络越来越普及的今天,早期建设的网络基础设施隐患重重, 信息安全受到的威胁种类越来越多。如今各行各业的信息系统都需要在互联网上交流传播信息,时时刻刻都避免不了面对各种安全威胁。为了提高信息安全保障,必须采取各种信息安全的策略, 其中最重要的就是等级保护。

以信息系统为主体,等级保护就是根据该信息系统的重要性采取相应的保护策略,按照信息系统等级实行分级保护,不同等级的系统采取不同层度的防护策略,即对重要系统重点防护,对一般系统适度保护。等级保护与多级安全紧密相关,因为等级保护起源于美国对军事安全所制定的多级安全策略。多级安全是指对信息系统里的主体和客体分别设置安全标记、定级,依据主体、 客体安全标记的比较来决定主体对客体的访问是否允许。

由于多级安全网络提出较晚,传统安全通信模型主要服务于IP网络。传统安全通信模型最初并没有考虑到多级安全,不能实现安全标记与信息客体、数据流的绑定。所以,如果要在传统模型中实现标记强制访问控制,则实施起来非常复杂、代价太大, 因此,传统安全模型难以适应多级安全的网络安全通信目标。另外,因为互联网纷繁复杂,多级安全应用到互联网时在灵活性、 适应性方面都存在巨大挑战。严格遵循多级安全规则会导致部分网络主体的访问受限,满足不了网络协同工作的需求。因为以上这些原因,传统安全通信模型无法直接应用到多级安全网络中。 所以,面向多级安全的网络安全通信仍然存在着一些亟待解决的问题。比如,缺乏面向多级安全的网络安全通信模型,信息系统中的各种对象的安全标记一成不变,不够灵活,无法适应网络通信的各种情况。因此,我们需要在具体通信中针对不同的访问请求,对对象的安全标记适当地做一些调整。

1安全标记绑定技术

安全标记绑定技术是多级安全中主体与客体资源访问控制、 数据流控制的基础,是确保多级安全网络通信中实施多级安全控制的关键。目前的安全标记绑定技术主要有以下三种:

1.1传统的安全标记绑定技术

传统的安全标记绑定技术是在数据或者客体里比如在电子邮件首行、文档的首部或尾部添加安全标记,再进行数字签名。 这种方法能实现一定的安全控制,但是对于异构数据交换系统实现起来比较困难,并且这种方法是对客体或数据的整体控制,无法实现细粒度的安全标记绑定。

1.2基于XML的安全标记绑定技术

基于XML的安全标记绑定技术主要包括:为XML文档强制访问控制,为XML对信息客体元数据的描述。

1.3数据流与安全标记绑定技术

数据流与安全标记绑定是指数据流如何携带安全标记,以期实现随时随地的数据流访问控制。这种技术是在安全通信协议的中额外增加安全标记的选项,实现起来比较简单,但是该方法增加了IP报文的长度。

2面向多级安全的网络模型

等级保护的实施体现在信息系统的多级安全,以确保客体资源的机密性与完整性。目前经典的基于等级保护的多级安全模型主要包括BLP模型和Biba模型等。BLP模型来源于具有严格机密性要求的政府和军事应用,其主要目标是防止高密级信息泄漏给低密级的主体,在主体访问客体时实施强制访问控制,访问规则比较简单,在具体实施过程中还有不少问题,比如灵活性差。 Biba模型的严格完整性策略能够有效地保证数据的完整性,却不能防止恶意的不可信主体人为故意泄露高安全级别的信息给低密级主体。其主要缺点在于主体和客体的完整性标记都是固定不变的,严重缺乏灵活性。基于这样的缺陷,在多级安全的网络通信中,我们可以对符合条件的对象安全标记进行调整。并且, BLP模型侧重于机密性,Biba模型侧重于完整性,而在实际信息系统中,需要兼顾机密性和完整性,所以,可以考虑把BLP模型和Bi Ba模型结合起来使用。

2.1定义主要元素

(1)实体:可以是信息系统中的所有资源(进程、文件、 设备等)和用户。

(2)主体:主动发起对另一个实体的访问请求的实体,如用户、执行操作的进程、主机、设备等,记为Subject,简写为S。

(3)客体:被动接受主体发起的访问请求的实体,如消息、 文件、目录、分组、连接、设备等,记为Object,简写为O。

(4)主体授权标记:特定的可信主体可以获得的特定权限, 记为SA = {(cmin,cmax),(imin,imax)}。其中,Scmin和Scmax分别表示主体S的最低和最高机密性级别;Simin和Simax分别表示主体S的最低和最高完整性级别。

(5)客体安全类别:客体的机密性和完整性受到破坏时可能产生的影响,记为OC = {cimp,iimp}。其中,Ocimp和Oiimp分别表示客体O的机密性类别和完整性类别。

(6)主体安全标记:主体的机密性级别、完整性级别和授权标记,记为SL =(cmin,cmax,imin,imax)。

(7)客体安全标记:客体的机密性级别、完整性级别和安全类别,记为OL =(cimp,iimp)。

(8)访问属性:主体对客体的访问方式,记为A= {r,w}。 其中,r表示只读、w表示只写。

2.2模型的基本安全特性

下面分别就何时主体可以读客体、主体可以写客体进行规定。为了便于说明,定义如下:主体的机密性级别和完整性级别为Sc、Si;客体的机密性级别和完整性级别分别为Oc,Oi。主体的最高和最低机密性级别分别为Scmax,Scmin。

当主体、客体的安全标记符合下列规则之一时,主体可以读客体:

(1)Sc不低于Oc,且Si不高于Oi;

(2)Sc不低于Oc,且Si高于Oi,但Oc高于Oi且Scmin不高于Oi;

(3)Sc低于Oc且Si不高于Oi,但Oi高于Oc且Scmax不低于Oc。

当主体、客体的安全标记符合下列规则之一时,主体可以写客体:

(1)Sc不高于Oc且Si不低于Oi;

(2)Sc不高于Oc且Si低于Oi,但Oc高于Oi且Simax不低于Oi;

(3)Sc高于Oc且Si不低于Oi,但Oi高于Oc且Sc不高于Oc。

2.3主体安全级别调整的原则

(1)如果主体和客体的安全标记既符合BLP模型,也符合Biba模型,则不用调整主体的安全级别。

(2)如果主体、客体的安全标记既不符合BLP模型也不符合Biba模型,则不用调整主体的安全级别。

(3)如果主体、客体的安全标记符合BLP模型,但是不符合Biba模型,则:

1当Oc高于Oi,即客体的机密性优先于其完整性时,则可以调整Si,但是不能调整Sc;

2当Oi高于Oc,即客体的完整性优先于其机密性时,则不能调整Si,加上假设前提是主体、客体的完整性级别不符合Biba模型,所以不必调整主体的机密性级别,即此种情况下,对主体的机密性级别和完整性级别都不做调整。

(4)如果主体、客体的安全标记符合Biba模型但是不符合BLP模型,则

1当Oi高于Oc时,不可调整Si,只能调整Sc;

2当Oc高于Oi时,则不可调整Sc,加上前提是主体、客体的完整性级别不符合BLP模型,所以不必调整主体的完整性级别Si。

以上的主体安全性调整原则可以用下图1的流程来表示。

2.4访问控制策略

(1)自主访问控制策略

自主访问控制是一种提供由用户对自身所创建的客体的访问权限进行控制的安全机制。这些访问权限包括允许或拒绝其它用户对该用户所创建的客体进行读、写、删除等操作,还可以进行授权转移等。自主访问控制的主要特点是由用户自主进行授权管理。

(2)强制访问控制策略

强制访问控制是指由系统按信息系统确定的规则对每一个用户所创建的所有客体的访问权限进行控制的安全机制。这种访问权限包括主体对客体的读、写、删除等操作。强制访问控制的主要特点是由系统安全员而不是客体创建者进行授权管理,通过强制访问控制安全策略,对主体访问客体的操作进行控制,实现对客体的机密性和完整性保护。

2.5访问控制流程

当主体请求访问信息系统中客体资源后,该信息系统的多级安全子系统将截获该访问请求,并从中解析出与访问控制相关的主体、客体、访问类型等关键信息,多级安全子系统查询主体、 客体安全标记列表,得到该主体、客体的安全标记信息,并依据主体、客体的安全标记的具体匹配情况对该请求进行判断,具体的处理流程如图2所示。

(1)如果该请求符合信息系统的自主访问控制策略,则该请求的判定结果为Yes,即系统允许该主体访问客体资源;否则将按后续步骤检查该访问请求是否符合系统的强制访问控制策略。

(2)如果该请求符合系统的强制访问控制策略,即机密性标记符合BLP模型且完整性标记符合Biba模型,则系统将允许该主体执行资源访问,否则进行下一步。

(3)如果该请求中主体、客体的安全标记符合BLP模型或Biba模型,系统将根据主体授权标记和客体安全类别检查判断是否可以临时调整主体在当前访问中的机密性级别或完整性级别,然后再次判断主体是否有权访问客体。如果主体安全级别调整过后符合访问要求,则允许该主体执行资源访问,否则,系统将拒绝此次请问请求。

(4)如果该请求中主、客体的安全标记既不符合BLP模型,也不符合Biba模型,则判定结果为No,即系统将拒绝此次访问请求。

3结语